Bảo mật Ngoài Tên người dùng/Mật khẩu?

Question

Tôi có một ứng dụng web yêu cầu bảo mật vượt ra ngoài ứng dụng web thông thường. Khi bất kỳ người dùng nào truy cập vào tên miền, họ được trình bày với hai trường văn bản, trường tên người dùng và trường mật khẩu. Nếu họ nhập người dùng/mật khẩu hợp lệ, họ sẽ có quyền truy cập vào ứng dụng web. Công cụ chuẩn.

Tuy nhiên, tôi đang tìm thêm bảo mật ngoài cài đặt chuẩn này. Lý tưởng nhất nó sẽ là một giải pháp phần mềm, nhưng tôi cũng mở cho giải pháp phần cứng cũng (phần cứng = key fobs), hoặc thậm chí thay đổi thủ tục (một lần sử dụng mật khẩu trên một mật khẩu pad chẳng hạn).

Ứng dụng web là duy nhất trong đó chúng tôi biết tất cả người dùng của mình trước thời hạn và chúng tôi tạo tên người dùng và mật khẩu của họ và cung cấp cho họ. Theo nghĩa này, chúng ta có thể yên tâm rằng tên người dùng và mật khẩu là "mạnh".

Tuy nhiên, khách hàng của chúng tôi đã yêu cầu bảo mật bổ sung ngoài điều này. Bất cứ ai có bất kỳ ý tưởng về làm thế nào để thêm một lớp phức tạp để bảo mật?

Answer 1

Công ty chúng tôi đã sử dụng PhoneFactor và chúng tôi hoàn toàn thích nó.

Chúng tôi cũng đã sử dụng Safeword Tokens trong quá khứ.

Tuy nhiên, đây không phải là trò chơi duy nhất trong sách. Tôi bắt đầu bằng cách googling "Two factor authentication"

OWASP guide to authentication là một nơi tốt để bắt đầu. Trên thực tế, OWASP là nơi đầu tiên tôi tìm bất kỳ câu hỏi bảo mật web nào.

Answer 2

Một tùy chọn khác cho an ninh bổ sung là sử dụng một miếng 'bằng chứng' vật lý như Smart Card: Protect Your Data Via Managed Code And The Windows Vista Smart Card APIs

Answer 3

Có rất nhiều lĩnh vực khác nhau mà các ứng dụng web có thể có an ninh của họ được cải thiện trên. Trước khi bắt đầu, bạn cần phải xác định những gì, chính xác, vấn đề khu vực của bạn có thể được và những gì bạn muốn tập trung vào.

Bạn có thể bắt đầu quá trình này bằng cách yêu cầu bên thứ ba kiểm tra thâm nhập (Thử nghiệm PEN) trên ứng dụng của bạn. Điều này sẽ cung cấp cho một danh sách hit nhanh chóng của những điều bạn có thể chăm sóc và, khi bạn có một lớp đi qua, là một cái gì đó để sử dụng trong văn học bán hàng của bạn.

Tiếp theo, bạn sẽ muốn nói chuyện với khách hàng của mình để hiểu ý nghĩa của từ "an toàn hơn". Chỉ đơn giản là xác thực hai yếu tố như David và Mitch đã đề cập hoặc họ quan tâm nhiều hơn đến dữ liệu chuyển động (ARP Ngộ độc, SSL, và tương tự), dữ liệu ở phần còn lại (mọi thứ từ mã hóa ổ cứng đến mã hóa cơ sở dữ liệu), ủy quyền, mạo danh (qua trang web và phát lại), nhân viên (kiểm tra lý lịch liên tục về người có quyền truy cập vào máy), v.v.

Khái niệm về bảo mật bao trùm rất nhiều.